Du bist nicht angemeldet. Der Zugriff auf einige Boards wurde daher deaktiviert.
Seiten: 1
#1 02. Juli 2011 19:38
- carolus
- hat von CMS/ms gehört
- Registriert: 17. April 2011
- Beiträge: 7
Angriff auf meine CMSms website
Ich habe von meinem Provider den Hinweis bekommen, dass unter der Adresse http:// .../tmp/templates_c/* Spam- und Phishing-Seiten verzeichnet sind und diese zu entfernen seien. Sie seien vermutlich über eine Sicherheitslücke in einer Standardsoftware oder es wären durch eine solche Sicherheitslücke die Zugangsdaten dafür erlang worden. Mir fällt auf, dass die config.php ein neues Datum trägt und folgende 1.Zeile hat: if(!defined("GR_HOST_ID")){define("GR_HOST_ID", "index_prx92");}@include_once('/www/htdocs/..../..../cmsmadesimple//modules/functions.php'); Dieses verweist auf eine php-Datei functions.php im Verzeichnis modules gleichen Datums, die nicht lesbar ist. Könnte das der Angriff von außen sein? Wenn ja, wie gehe ich weiter vor, wenn nein, wie finde ich das Problem? Danke. Carolus
Offline
#2 02. Juli 2011 19:50
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: Angriff auf meine CMSms website
Sieht erst mal sehr danach aus ... du hast hoffentlich ein Backup?
Hattest du bei deinen Einstellungen unseren Sicherheits-Thread berücksichtigt?
http://www.cmsmadesimple.de/forum/viewtopic.php?id=18
Läuft auf dem Host noch andere Software außer CMSMS?
Das templates_c Verzeichnis kannst du löschen, indem du im Backend die Funktion "Zwischenspeicher löschen" verwendest.
Als erstes würde ich die Passwörter für FTP, die Datenbanken und CMSMS ändern ... alles weitere nach deiner Antwort.
Offline
#3 03. Juli 2011 18:02
- carolus
- hat von CMS/ms gehört
- Registriert: 17. April 2011
- Beiträge: 7
Re: Angriff auf meine CMSms website
Danke cyberman, habe deine Hinweise befolgt mit Ausnahme die PW für die DB zu ändern, da ich da unsicher bin was alles zu tun ist. Seite ist wieder OK. Die zusätzlichen Sicherungsmaßnahmen hatte ich leider nicht ergriffen, bin aber dabei diese sukzessive zu installieren. Weitere Software läuft in der Tat auf dem Server. carolus
Offline
#4 03. Juli 2011 18:31
- NaN
- Moderator
- Ort: Halle (Saale)
- Registriert: 09. November 2010
- Beiträge: 4.437
Re: Angriff auf meine CMSms website
Wenn jemand Zugriff auf die config.php hatte, dann kennt er auch die Zugangsdaten Deiner Datenbank.
Du musst unbedingt alle Passwörter ändern.
D.h. FTP, Datenbank und CMS.
Sonst hast Du bald wieder die gleichen Probleme.
Über die Datenbank kann sich der Angreifer einen eigenen CMS-Account erstellen.
Darüber kann er dann mit dem Filemanager wieder jedes x-beliebige Script hochladen bzw. Deine Sicherheitsvorkehrungen wieder aushebeln.
Module: GBFilePicker, AdvancedContent
Sicherheit: Beispiel .htaccess-Datei
CMSms 1.12 unter PHP 7:
cmsms-1.12.3.zip (inoffiziell - komplett inkl. Installer)
CMSms 1.12 unter PHP 8:
cmsms-1.12.4.zip (inoffiziell - komplett inkl. Installer)
Offline
#5 03. Juli 2011 18:56
- Andynium
- Moderator
- Ort: Dohna / SN / Deutschland
- Registriert: 13. September 2010
- Beiträge: 7.018
- Webseite
Re: Angriff auf meine CMSms website
Weitere Software läuft in der Tat auf dem Server
Hier mal schauen, ob diese Software zu aktualisieren ist ... und natürlich die neuen Zeilen aus der config.php entfernen.
Offline
#6 04. Juli 2011 10:54
- rage_all
- kennt CMS/ms
- Ort: Augsburg
- Registriert: 09. März 2011
- Beiträge: 288
Re: Angriff auf meine CMSms website
Erstmal mein Beileid, hatte das auch schon - zwei Mal, zwei Mal beim selben Kunden...
Der Angriff bei mir entstand vermutlich durch eine offene Sicherheitslücke eines e-commerce Shops.
Beim Verzeichnisvergleich sind mir weitere Daten aufgefallen, mit ungewöhnlichen oder falschen Dateiendungen (ich vermute, dass ein Script die Datei z.B. von .htm zu .php umbenennt, ausführt / einbindet und danach wieder umbenennt --> bei der Durchsicht fallen solche HTMLs ja nicht auf, vor allem nicht die Verfizierungsseiten, z.B. "google1234567.htm").
Dadurch habe ich ein Script identifiziert, "boff_web_shell.php". Damit war es mir möglich auf alle Verzeichnisse des Servers zuzugreifen, auch die anderer Kunden außerhalb der Quota. Zwar ist mir rätselhaft wie das funktioniert, testhalber hab ich aber (nachdem der Kundenservice negiert hat, dass das möglich ist) auf einem anderen Verzeichnis eine htm gespeichert...
Deswegen bin ich seither immer vorsichtig, wenn jemand sagt, "ich" wurde gehackt ... wer weiß was und wie es beim Hoster liegt...
Mein Rat: Vergleiche das letzte saubere Backup mit einem DIFF-Tool (gibt's jede Menge kostenlos, unter XP ist glaube ich sogar das "windiff.exe" kostenlos dabei) und schau jede Datei mit unterschiedlicher Größe an.
Altes Indianer Sprichwort: "Wo ein weißer Mann ist, sind noch mehr weiße Männer..."
Ich drück Dir die Daumen, dass Du bald wieder sicher online bist.
Meine letzte Konsequenz war die Abschaltung des Shop, nachdem ich schon so viele PHPs deaktivieren musste, dass es eh schon ein Witz war...
Offline
Seiten: 1